IntroducciónArquitectura
EjemplosFin
Monitoreo de redes con Munin
Gunnar Eyal Wolf Iszaevich � [email protected]
http://www.gwolf.org/seguridad/munin
Instituto de Investigaciones Económicas • UNAM
Seminario AdminUNAM 2014
20 de junio 2014, DGTIC, UNAM
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué hace un administrador de red/sistemas/base de datos?
Asegurar la disponibilidad de los servicios
Asegurar la con�anza en la información provista/almacenada
Conocer en todo momento el estado de sus equipos, parapoder anticiparse a los problemas
...Y, claro, mucho más
Munin es una infraestructura genérica de monitoreo histórico ygra�cación de servicios/recursos
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Monitoreo histórico?
Una de las tareas más importantes que, como administradores desistemas o de redes, tenemos la responsabilidad de realizarperiódicamente, para encontrar tendencias y anticiparse a los
problemas, es el
Monitoreo de recursos
¾Qué signi�ca? ¾Por qué tengo que hacerlo? ¾De qué me sirve? ¾Ycómo puedo hacerlo atractivo, incluso divertido?
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
El verdadero valor de las grá�cas
Las grá�cas históricas son una herramienta fundamental en elarsenal de un administrador de sistemas
El que conserven memoria histórica es fundamental paraanalizar tendencias y encontrar comportamientos a largo plazo
Entre menos tengamos que con�gurar/batallar para lograr unaprimer imagen satisfactoria del sistema de monitoreo, másvamos a animarnos a utilizarlo
Entre más podamos adecuar la información que nos espresentada a las necesidades especí�cas de nuestro entorno,más útil nos va a ser el sistema que elijamos
Nos ayudan muchísimo a aprender, a comprender elfuncionamiento y relaciones dentro de nuestro sistema
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
¾Qué es Munin?
Una herramienta orientada a trabajo en red, integrandomúltiples sistemas bajo una sóla interfaz
Monitoreo histórico de recursos que puede ayudar �a través dela gra�cación� a analizar tendencias en su uso
Ofrece una instalación muy simple, plug-and-play
El desarrollo de agentes monitores para necesidades adicionalesque tengamos es muy simple
La interfaz pública no requiere de privilegio alguno deejecución de código (produce HTML estático)
Está construído empleando la base de datos circular RRDtool
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Munin y Hugin
Hugin y Munin en los hombros de Odín;
manuscrito islandés, s. XVIIIH uginn ok Muninn fljuga hverjan dag Jormungrund yfiroumk ek of Hugin, at hann aftr ne komi-t, tho sjamk meir of Munin.
Hugin y Munin vuelan todos los días alrededor del mundo;
Temo menos por Hugin de que no regrese, aún más temo por Munin
Edda poética - Grímnismál, estrofas 19 y 20
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Munin y Hugin
Representación de Munin y Hugin
Odín en el detalle de un casco,
acompañado de sus cuervos.
En la mitologıa nórdica, Munin yHugin son los cuervos del dios Odín. Vuelan
a través del mundo, y relatan a Odín,susurrando a sus oídos, lo que han visto,
todas las noticias.
Recuerdan todo.
Hugin es el pensamiento y Munin es lamemoria.
Es debido a estos cuervos que el apelativo�Hrafnaguð� (dios cuervo) se utilizaba
para referirse a Odín.
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
¾Qué no es Munin?
Munin no es perfecto ni es para todas las situaciones ycon�guraciones
Munin recibe la información sin autenticación y en texto plano
sobre la red. Si hay información sensible o con�dencial, no esadecuado
Hace monitoreo periódico, cada cinco minutos. Sirve pararecolectar datos estadísticos, no como herramienta de
alertamiento (puede servir, pero no es su función natural nióptima)
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Servidor, plugins y cliente
Munin se divide en tres componentes principales:
Servidor Un demonio que corre en todas las máquinasmonitoreadas, por default en el puerto 4949. Sufunción es con�gurar y llamar a los plugins.Cuando hablamos de munin-node, nos referimos alservidor.
Plugins Cada uno de los agentes de recolección de datos queson invocados por munin-node. Dan la informaciónque monitorean, y son también capaces de describir
su función y con�guración
Cliente Proceso que corre periódicamente (normalmente cada5 minutos) desde un nodo central, interrogando acada uno de los servidores munin-node, y generandolas páginas Web con los resultados
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Instalación de Munin
Puedo asumir que utilizan software de calidad, que no les gustacomplicarse la vida...
¾Verdad?
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Instalación de Munin
Puedo asumir que utilizan software de calidad, que no les gustacomplicarse la vida...
¾Verdad?
Instalando Munin en Debian
gwolf@malenkaya[1] $ su -
Password:
root@malenkaya[1] # apt-get install munin munin-node
(...)
Do you want to continue? [Y/n/?] y
(...)
Y ya.
Instalado, con�gurado y funcionando.
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Explicando la magia: munin-node-con�g
Un buen mago jamás revela sus secretos.
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Explicando la magia: munin-node-con�g
Un buen mago jamás revela sus secretos.Afortunadamente, soy administrador de sistemas, no mago.
munin-node-configure
Llamado sin opciones, nos desglosa la con�guración actual:
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Explicando la magia: munin-node-con�g
Indicando �suggest, nos sugiere qué plugins activar y con quécon�guraciones lanzarlos
munin-node-configure �suggest
Claro, al momento de instalación, el sistema es interrogado por estescript � Y obtenemos una con�guración por omisión muy
completa.
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Con�gurando Munin-node (servidor) más allá de los defaults
¾Y si quiero a�nar lo que me es monitoreado? ¾Agregar, quitaragentes? ¾Especi�car parámetros?
Los parámetros base de cada servidor munin-node soncon�gurados en /etc/munin/munin-node.conf:
log_level 4
log_file /var/log/munin/munin-node.log
port 4949
pid_file /var/run/munin/munin-node.pid
background 1
setseid 1
# Which port to bind to;
host 127.0.0.1
user root
group root
setsid yes
Para un sólo nodo, la con�guración default es típicamenteadecuada.
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Con�gurando Munin-node (servidor) más allá de los defaults
Para determinar los plugins a activar, basta ligarlos o eliminarlos de/etc/munin/plugins:
lrwxrwxrwx 1 root root 29 2008-03-22 16:06 acpi -> /usr/share/munin/plugins/acpilrwxrwxrwx 1 root root 28 2008-03-22 16:06 cpu -> /usr/share/munin/plugins/cpulrwxrwxrwx 1 root root 27 2008-03-22 16:06 df -> /usr/share/munin/plugins/dflrwxrwxrwx 1 root root 33 2008-03-22 16:06 df_inode -> /usr/share/munin/plugins/df_inodelrwxrwxrwx 1 root root 32 2008-03-22 16:06 entropy -> /usr/share/munin/plugins/entropylrwxrwxrwx 1 root root 30 2008-03-22 16:06 forks -> /usr/share/munin/plugins/forkslrwxrwxrwx 1 root root 28 2008-03-22 16:06 if_eth1 -> /usr/share/munin/plugins/if_lrwxrwxrwx 1 root root 28 2008-04-05 15:21 if_eth2 -> /usr/share/munin/plugins/if_(...)
Tomen nota de los últimos dos � Los plugins cuyo nombre terminaen _ son mágicos: El nombre que liga hacia el plugin es tomado
como argumento
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Con�gurando Munin-node (servidor) más allá de los defaults
Algunos plugins pueden recibir, además, parámetros ocon�guraciones adicionales.
Estos los con�guramos a través de archivos en/etc/munin/plugin-conf.d/, en bloques con el estilogeneral/tradicional .ini
...En una instalación básica, rara vez hace falta siquiera tocarestos archivos
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Con�gurando Munin (cliente) más allá de los defaults
¾Y cómo monitoreo a varios hosts?La con�guración del cliente esta en /etc/munin/munin.conf; la
sección relevante default dice:
[localhost.localdomain]
address 127.0.0.1
use_node_name yes
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Con�gurando Munin (cliente) más allá de los defaults
Para monitorear a varios hosts, es casi igual:
[webserver.localdomain]
address 127.0.0.1
use_node_name yes
[database.localdomain]
address 192.168.100.150
use_node_name yes
Hay varias opciones más disponibles para la generación de páginasde grá�cas (p.ej. totalizaciones, ordenamiento interno...)
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Lógica de operación de un plugin
Cada plugin es ejecutado por munin-node como un scriptcualquiera.
El plugin corre con los privilegios de usuario de�nidos en suentrada en /etc/munin/plugin-conf.d/
Su modo de operación lo determina el único parámetro
autoconf ¾Es capaz de autocon�gurarse en base alentorno? (yes / no y estado de salida)
suggest ¾En qué casos se autosugerirá al cliente Munin?(por estado de salida)
config ¾Qué parámetros gra�cará? (Descripción de lagrá�ca, etiquetas de los ejes y las variables, eindicaciones de formato a RRDtool
fetch Entrega los resultados del monitoreo en cuestión.Es el comportamiento default.
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
El protocolo básico de Munin
El servidor de munin implementa un protocolo muy sencillo:
list Muestra los plugins disponibles en este host
nodes Nodos que este host reporta (p.ej. sobre SNMP)
con�g plugin Descripción y con�guración del plugin especi�cado
fetch plugin Recupera los valores actuales del plugin solicitado
quit Finaliza la sesión de monitoreo
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Una conversación ejemplo con Munin-node (1)
$ nc localhost 4949
# munin node at webserver.localdomain
help
# Unknown command. Try list, nodes, config, fetch, version or quit
list
open_inodes entropy irqstats mysql_slowqueries processes acpi
mysql_threads df netstat interrupts swap mysql_bytes if_eth2 load
df_inode cpu if_eth1 mysql_queries forks iostat open_files memory vmstat
nodes
webserver.localdomain
.
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Una conversación ejemplo con Munin-node (1)
$ nc localhost 4949
# munin node at webserver.localdomain
help
# Unknown command. Try list, nodes, config, fetch, version or quit
list
open_inodes entropy irqstats mysql_slowqueries processes acpi
mysql_threads df netstat interrupts swap mysql_bytes if_eth2 load
df_inode cpu if_eth1 mysql_queries forks iostat open_files memory vmstat
nodes
webserver.localdomain
.
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Una conversación ejemplo con Munin-node (1)
$ nc localhost 4949
# munin node at webserver.localdomain
help
# Unknown command. Try list, nodes, config, fetch, version or quit
list
open_inodes entropy irqstats mysql_slowqueries processes acpi
mysql_threads df netstat interrupts swap mysql_bytes if_eth2 load
df_inode cpu if_eth1 mysql_queries forks iostat open_files memory vmstat
nodes
webserver.localdomain
.
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Una conversación ejemplo con Munin-node (1)
$ nc localhost 4949
# munin node at webserver.localdomain
help
# Unknown command. Try list, nodes, config, fetch, version or quit
list
open_inodes entropy irqstats mysql_slowqueries processes acpi
mysql_threads df netstat interrupts swap mysql_bytes if_eth2 load
df_inode cpu if_eth1 mysql_queries forks iostat open_files memory vmstat
nodes
webserver.localdomain
.
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Una conversación ejemplo con Munin-node (2)
config entropy
graph_title Available entropy
graph_args �base 1000 -l 0
graph_vlabel entropy (bytes)
graph_scale no
graph_category system
graph_info This graph shows the amount of entropy available in the
system.
entropy.label entropy
entropy.info The number of random bytes available. This is typically
used by cryptographic applications.
.
fetch entropy
entropy.value 815
.
quit
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Una conversación ejemplo con Munin-node (2)
config entropy
graph_title Available entropy
graph_args �base 1000 -l 0
graph_vlabel entropy (bytes)
graph_scale no
graph_category system
graph_info This graph shows the amount of entropy available in the
system.
entropy.label entropy
entropy.info The number of random bytes available. This is typically
used by cryptographic applications.
.
fetch entropy
entropy.value 815
.
quit
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Qué es (y qué no es) Munin?Estructura, instalación y con�guraciónEl protocolo sobre la red
Una conversación ejemplo con Munin-node (2)
config entropy
graph_title Available entropy
graph_args �base 1000 -l 0
graph_vlabel entropy (bytes)
graph_scale no
graph_category system
graph_info This graph shows the amount of entropy available in the
system.
entropy.label entropy
entropy.info The number of random bytes available. This is typically
used by cryptographic applications.
.
fetch entropy
entropy.value 815
.
quit
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
Desarrollando nuestros propios plugins
Leyendo grá�cas como mecanismo de aprendizaje
Leer las grá�cas generadas por Munin nos puede llevar aaprender y entender muchos aspectos del funcionamiento denuestro sistema
Es importante que revisemos todos los aspectos que llamennuestra atención � Pueden llevarnos a sorprendentesrevelaciones
Munin viene pre-con�gurado para monitorear diversos aspectosdel sistema � ½Aprovechémoslo!
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
Desarrollando nuestros propios plugins
Uso de CPU
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
Desarrollando nuestros propios plugins
Uso (anual) del sistema de archivos
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
Desarrollando nuestros propios plugins
Uso de memoria
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
Desarrollando nuestros propios plugins
Conexiones a PostgreSQL por usuario
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
Desarrollando nuestros propios plugins
½El cielo es el límite!
Probablemente la mayor fuerza de Munin es lo fácil que resultaimplementar y desplegar nuestros propios plugins
Los plugins pueden implementarse en cualquier lenguaje, bastacon ofrecer una interfaz muy simple
Cualquier cosa cuanti�cable es monitoreable
Para realmente aprovecharlo en realidad, nos convieneaprender las sutilezas de RRDtool
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
Desarrollando nuestros propios plugins
¾Y cómo obtengo los datos?
Cualquier programa que implemente el protocolo de Muninpuede ser usado como plugin
El módulo de Perl Munin::Plugin::Pgsql hace casi trivialcrear plugins implementando una consulta arbitraria
Podemos gra�car la salud de PostgreSQL, los datos mismosalmacenados en nuestra base de datos, o cualquier agregadoque se nos ocurra
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
Desarrollando nuestros propios plugins
Utilizando Munin::Plugin::Pgsql
Ejemplo: Número de conexiones por usuario
#!/usr/bin/perl
use strict;
use warnings;
use Munin::Plugin::Pgsql;
my $pg = Munin::Plugin::Pgsql->new(
title => 'PostgreSQL connections per user',
info => 'Number of connections per user',
vlabel => 'Connections',
basequery => "SELECT usename,count(*) FROM pg_stat_activity WHERE " .
"procpid != pg_backend_pid() GROUP BY usename ORDER BY 1",
configquery => "SELECT DISTINCT usename,usename FROM " .
"pg_stat_activity ORDER BY 1");
$pg->Process();
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
Desarrollando nuestros propios plugins
Número de participantes en un congreso, por categoría
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
Desarrollando nuestros propios plugins
Gra�cación de servicios que no cooperan
Incluso los servicios que están hechos para no ser monitoreados
pueden incluirse con un poco de ingenio
¾Costo? Un programita bastante simple de 200 líneas en Ruby.¾Ahorro? Del órden de 700 dólares anuales.
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
Desarrollando nuestros propios plugins
Cosas a tomar en cuenta con nuestros plugins
¾Con qué privilegios va a correr? ¾Puedo obligar a que el scriptno sea llamado como root?
¾Qué tiempo de ejecución tiene cada plugin? Recuerden quevoy a tener una invocación de todos mis plugins cada cincominutos. ¾Puedo separarlo en hilos o procesos?
¾Qué tan sensibles son estos datos? Recuerden que Munin no
implementa autenticación ni cifado � Pueden con�gurarlop.ej. sobre interfaces ligadas a una VPN.
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
Concluyendo
Munin es...Bonito
Divertido
Una herramienta para monitorear nuestros sistemas
Un gran recurso para aprender acerca de nuestros sistemas
Una maravillosa herramienta para apantallar al jefe
Una excelente manera de perder el tiempo
Gunnar Wolf Munin
IntroducciónArquitectura
EjemplosFin
¾Dudas?
½Gracias!
Gunnar Wolf � [email protected]
Instituto de Investigaciones Económicas • UNAM
http://www.gwolf.org/soft/munin
Gunnar Wolf Munin